Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

취약점

"취약점 악용 가능성을 예측한다" EPSS 보안 평가 모델 따라잡기

공통 취약점 스캔 시스템(Common Vulnerability Scanning System, CVSS)은 취약점의 심각성을 평가하는 용도로 자주 언급되는 등급 시스템이다. 그러나 취약점으로 인한 위험을 평가하고 우선순위를 정하는 관행이 적절하지 않다는 비판을 받아왔다. 이러한 이유로 각종 메트릭을 보다 실행 가능하고 효율적으로 만들기 위해 익스플로잇 예측 스코어링 시스템(Exploit Prediction Scoring System, EPSS)을 사용하거나 CVSS와 EPSS를 결합해야 한다는 목소리가 등장했다. EPSS는 사건 대응 및 보안 팀으로 구성된 포럼인 FIRST(Forum of Incident Response and Security Teams,)에 의해 관리된다.     EPSS의 정의 EPSS는 소프트웨어 취약점이 야생에서 악용될 가능성을 추정하고자 하는, 개방적이고 데이터 중심적인 노력이라고 할 수 있다. CVSS의 경우 취약점의 고유한 특성에 초점을 맞춰 심각성 점수를 매긴다. 이 점수는 취약점 문제 해결 및 완화 노력의 우선 순위를 지정하여 조직 리스크 감소에 미치는 영향을 극대화해야 하는 취약점 관리 전문가에게 중요한 정보다. 그러나 심각성 점수만으로는 악용 가능성을 보여주지 않는다. EPSS와 관련해 관심이 있는 사람들을 위해 개방된 단체(SIG ; special interest group)가 있다 연구원, 보안 실무자, 학계 및 정부 인력이 주도하고 있는 자원봉사그룹이 주도한다. 이러한 업계 협업 중심의 접근 방식에도 불구하고 조직이 적합하다고 판단하는 대로 모델 및 관련 지침을 업데이트할 수 있는 권한은 FIRST가 보유하고 있다. 이 그룹에는 다양한 조직의 많은 구성원들 중에서도 랜드, 싸이엔시아, 버지니아 공대, 케나 시큐리티와 같은 조직의 수장들과 창설자들이 포함된다. 한편 공격 예측, 취약점 모델링 및 공개, 소프트웨어 악용과 같은 관련 주제를 자세히 다루는 여러 EPSS 관련 논문이 있다.   ...

EPSS CVSS 취약점 2일 전

퀄리스, 에이전트리스 멀티클라우드 보안 관리 플랫폼 발표

취약점 관리 솔루션 업체 퀄리스(Qualys)가 멀티클라우드 및 하이브리드 환경을 위한 에이전트리스 방식의 클라우드 네이티브 취약점 탐지 및 대응 플랫폼을 발표했다. 이번에 공개된 토털클라우드 플렉스캔(TotalCloud FlexScan)은 클라우드 기반 워크로드에 대한 총체적인 개요를 제공하고 알려진 취약점을 탐지하는 데 중점을 두고 있다. 또한 워크로드를 검사해 개방된 네트워크 포트가 있는지 확인하고 다양한 보안 요소를 감시해 기업 전반의 취약점 상황에 대한 상세한 그림을 제공한다. 외부에 공개된 VM이나 데이터베이스, 사용자 계정, 악용할 수 있는 취약점도 추적한다.   퀄리스에 따르면, 토털클라우드의 주요 기능 중 다수가 노코드로 설계되어 일반 사용자도 GUI를 이용해 복잡한 운영 작업을 수행할 수 있다. 자산을 격리하고 경보 파라미터를 설정하는 등의 작업은 보통 코딩이 필요하고 많은 시간이 드는 작업이다. 또한 개발자를 위한 데브섹옵스 툴로 설계되어 개발 과정의 각 단계에서 보안 결함을 파악해 바로잡을 수 있다. 토털클라우드의 강점 중 하나는 에이전트리스 방식이다. 즉 모니터링할 자산에서 아무런 소프트웨어도 실행하지 않기 때문에 워크로드에 추가 부하가 발생하지 않는다. IDC의 보안 담당 부사장 프랭크 딕슨은 “에이전트리스 보안은 기업 내의 애플리케이션 보안에 대한 불완전한 접근을 해결하는 놀라운 혁신이다. 특히 클라우드 운영이 가상 자산 이면의 환경을 검사해야 하기 때문에 개발자의 반대로 생기는 갈등을 완화할 수 있다”고 평가했다. 하지만 에이전트리스 방식의 단점도 있다. 이 방식은 보호하는 시스템의 개별 스냅샷을 기반으로 하기 때문에 순간순간을 지속적으로 모니터링하지 않는다. 딕슨에 따르면, 이 때문에 스냅샷 사이에 일시적으로 분리되었다가 되돌아온 워크로드를 보호할 수 없다고 지적했다. 딕슨은 “여기에 더해 에이전트리스 솔루션은 프로세스 정보나 L3/L4 접속 활동, 메모리 분석, 기타 실시간 정보 같은 활동 지표를 추출할 수 ...

퀄리스 Qualys 에이전트리스 2022.11.08

MS 익스체인지 서버 보안 결함⋯"원격 파워셸 액세스 비활성화 권고"

공격자가 패치되지 않은 2가지 취약점을 악용하여 온프레미스 마이크로소프트 익스체인지 서버를 원격에서 손상시키고 있다. 지난주 마이크로소프트는 이 결함을 확인하고, 영구적인 패치가 개발될 때까지 (취할 수 있는) 완화 조치를 발표했지만 한 보고서에 따르면 해당 완화 조치는 쉽게 우회할 수 있는 것으로 나타났다.    이 새 취약점은 지난 8월 초 베트남의 보안 업체 GTSC가 서버 공격을 받은 고객의 보안 모니터링 및 사고 대응을 수행하던 중 발견됐다. 맨 처음 GTSC 연구진은 프록시셸(ProxyShell) 취약점이라고 간주했다. 프록시셸은 (익스체인지에 있는) 3가지 취약점(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)을 묶는 공격이며, 작년에 패치됐다.  하지만 GTSC의 사고 대응팀은 공격자가 원격 코드 실행을 획득한, 손상된 익스체인지 서버가 최신 상태라는 점을 빠르게 깨달았다. 이는 프록시셸이 아니라는 것을 의미한다. GTSC는 리버스 엔지니어링을 통해 이전에 알려지지 않은 취약점이라는 사실을 확인한 후 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브(ZDI) 프로그램에 관련 보고서를 제출했고, 이는 마이크로소프트와 공유됐다.    새 공격은 2가지 취약점을 악용한다 새 공격 체인은 마이크로소프트에서 CVE-2022-41040와 CVE-2022-41082로 추적하는 2가지 새로운 결함을 악용한다. 첫 번째 취약점은 인증된 공격자가 두 번째 취약점을 트리거할 수 있도록 하는 SSRF(Server-Side Request Forgery; 서버-측 요청 위조) 문제다. 그 결과 파워셸(PowerShell)을 통해 원격 코드를 실행할 수 있게 된다.  이 결함은 마이크로소프트 익스체인지 서버 2013, 익스체인지 서버 2016, 익스체인지 서버 2019에 영향을 미친다. 반면에 마이크로소프트 익스체인지 온라인(Microsoft Exchange Onl...

제로데이 취약점 취약점 네트워크 보안 2022.10.06

글로벌 칼럼 | 취약점 패치 품질이 악화하는 이유

보안 패치 담당자가 업데이트 시점을 정하고 패치가 기업에 미치는 영향을 파악하기가 점점 어려워지고 있다. ZDI 제로 데이 이니셔티브(ZDI Zero Day Initiative)의 더스틴 차일즈와 트렌드 마이크로(Trend Micro)는 최근 블랙 햇(Black Hat) 보안 컨퍼런스에서 이 문제, 패치 품질이 개선되지 않고 오히려 악화하는 문제를 조명했다. 오늘날에는 제대로 수정되지 않은 버그 또는 처음에 패치했어야 하는 변종 버그를 다시 패치하는 경우가 다반사다.   또한 차일즈는 패치 여부 판단을 도와주는 공통 취약점 등급 시스템(Common Vulnerability Scoring System, CVSS)에 솔루션 업체들이 쓸 만한 정보를 제공하지 않는 점도 지적했다. 또한 솔루션 업체들은 쉽게 악용할 수 없는 버그에도 CVSS 위험 등급을 높이 부여하기도 한다. 특정 업데이트를 즉시 적용하지 않을 때 발생하는 위험을 더 정확히 이해하기 위해서는 버그의 세부 정보를 더 자세히 살펴봐야 하지만, 솔루션 업체들은 버그 정보에 모호함을 더해 위험을 이해하기 어렵게 만들고 있다. 실제 위험을 반영하지 않는 CVSS CVSS는 컴퓨터 시스템 보안 취약점의 심각도를 평가하는 데 도움이 되기 위해 만들어진 업계 표준이다. 가장 심각한 등급이 10이며 패치에 부여되는 CVSS가 높을수록 더 시급히 해당 패치를 적용해야 한다는 의미다. 그러나 여러 상황과 부가적인 위험 요소를 평가해 보면 실제로는 CVSS에 부여된 등급 정도까지 심각한 것은 아닐 수 있다. 더 좋지 않은 상황은 CVSS가 특정한 조직에만 해당하는 부가적인 위험 요소를 반영하지 않은 탓에 등급보다 실제 위험이 더 큰 경우다. 예를 들어, 마이크로소프트의 8월 보안 업데이트에 포함된 CVE-2022-34715는 윈도우 네트워크 파일 시스템(Windows Network File System)의 원격 코드 실행 취약점을 수정한다. CVSS 등급은 9.8로, 긴급 우려 사항에 해당한다. 그러나 버...

패치 업데이트 취약점 2022.08.26

"올 6월까지 발견된 취약점, 전년 동기 대비 35% 많다" 트러스트웨이브 조사

트러스트웨이브(Trustwave) 산하 스파이더랩스(SpiderLabs)의 최근 조사에 따르면, 올해 6월까지 지정된 CVE의 수가 2021년 같은 기간 발견된 것보다 최대 35% 더 많을 수 있는 것으로 파악됐다. 효과적인 패치 관리의 필요성을 인식하는 조직은 더 많아진 것으로 보이지만, 현재 추세가 계속된다면 2022년 한 해에 발표되는 전체 CVE의 수는 2021년의 전체 CVE 수를 넘어설 것으로 보인다. 스파이더랩스는 심각도가 높은 몇 가지 취약점에 대한 현재의 위험 수준도 조사했다.   2022년 발견된 취약점은 명령 주입, 원격 코드 실행 보고서에 따르면, 2022년 6월 16일까지 발표된 CVE의 수는 작년보다 약 6~35% 증가한 것으로 추정된다. 스파이더랩스는 “2022년 CVE에 대한 상위 CWE(Common Weakness Enumeration) 3가지는 CWE-79, 89, 787로, 명령 주입 및 원격 코드 실행 취약점에서 일반적이다”라고 말했다. 또한 스파이더랩스는 쇼단(Shodan)의 데이터를 보면 세간의 이목을 끄는 일부 취약점이 여전히 만연하고 있으며, 화이트 및 블랙 해커 모두 이런 취약점에 대한 정보를 수집하기 위해 인터넷을 계속 스캔하고 있다고 지적했다. 1,000여개의 인스턴스, 로그4셸에 여전히 취약 발견된 지 6개월이 지났음에도 불구하고 스파이더랩스는 6월 9일까지 로그4셸(CVE-2021-44228)에 취약한 인스턴스를 1,467개 발견했다. 취약한 인스턴스는 러시아(266개, 18%)와 미국(215개, 15%), 독일(205개, 15%)의 호스트에서 가장 많이 나왔다. 스파이더랩스는 로그4셸의 영향을 받은 모든 제품을 조사한 것은 아니다. 영향을 받은 가장 유명한 제품의 샘플만 평가했으며, 대표적으로 인터넷 센서 네트워크 그레이노이즈6(GreyNoise6)를 통해 30일 주기로 인터넷에서 로그4셸을 악용하려고 시도하는 IP 주소 667개를 감지했다. 스파이더랩스는 “이 취약점을...

취약점 패치 2022.08.26

줌, 맥용 앱 업데이트 배포 "해커가 맥북 완전히 장악할 수 있는 취약점 수정"

화상회의를 위해 줌(Zoom)에 접속해야 한다면, 시간을 조금 더 투자해 앱 업데이트를 반드시 설치하는 것이 좋다. 최근 줌은 해커가 사용자의 기기 전체를 장악할 수 있는 맥OS용 줌 앱의 취약점을 수정하는 보안 패치를 배포했다.    오브젝티브씨파운데이션(Objective-See Foundation)의 패트릭 워들이 발견한 맥OS용 줌의 취약점은 자동 업데이터(ZoomAutoUpdater.app)와 관련이 있다. 자동 업데이터는 루트 사용자로 작동하며 사용자의 비밀번호가 필요 없다. 업데이터가 실행되면 소프트웨어 업데이트가 줌이 서명한 것인지 확인하는데, 워들은 파일 이름이 서명 인증서와 같은지만 확인하고 있음을 발견했다. 해커는 인증서와 이름이 같은 다른 패키지를 사용해 맥에 액세스할 수 있다.  워들은 최근 미국 라스베이거스에서 열린 보안 컨퍼런스 데프콘(DefCon)에서 해당 취약점에 대해 발표했다(발표 자료는 온라인에서 확인할 수 있다). 줌은 취약점 패치 버전인 5.11.5(9788)을 배포했지만, 사실 이번 패치는 해당 취약점을 수정하는 두 번째 시도다. 워들은 지난 12월에도 취약점에 대해 설명했고 줌은 수정 사항을 배포했지만, 당시 패치에는 취약점을 여전히 유효하도록 만드는 버그가 있었다. 보안과 관련한 줌의 역사는 파란만장하다. 과거에는 승인되지 않은 마이크 액세스, 암호화 미흡, 승인되지 않은 사용자의 회의 침입과 같은 문제가 있었다. 이런 문제는 업데이트를 통해 해결됐다.  맥OS에서 줌 업데이트하기 줌 앱을 실행하면 업데이트가 자동으로 설치되지만, 필자의 경험에 따르면 최신 버전인 5.11.5(9788)는 설치되지 않을 수 있다. 최신 버전이 설치되지 않았다면 수동으로 업데이트해야 한다. 방법은 다음과 같다.  1. 업데이트 수동 확인 : 'zoom.us' 메뉴 → '업데이트 확인' 선택   2. 업데이트 설치 : 줌 앱이 설치할 수 있는 업데이트를 ...

취약점 2022데프콘 2022.08.17

모든 파일에 접근할 수 있는 맥OS 취약점 공개 "오래된 OS는 여전히 위험"

애플이 OS 업데이트를 배포했다면 가능한 한 빨리 업데이트하는 것이 좋다. 가장 큰 이유는 중요한 보안 패치가 포함되어 있는 경우가 많기 때문이다. 최근 사이버보안 업체 컴퓨테스트리마인즈(Computestremids)의 보안 연구원 티즈 알케메이드가 공개한 보고서에서도 신속한 업데이트가 중요한 이유를 알 수 있다.   와이어드(Wired)는 맥OS의 저장된 상태 기능에서 취약점이 발견됐다고 보도했다. 이 기능은 맥을 다시 시작하면 열려 있던 앱과 파일이 자동으로 다시 열리는 기능이다. 2020년 12월 이 취약점을 발견한 알케메이드는 맥의 저장된 상태에 대한 프로세스 주입 공격을 성공적으로 수행했다. 그런 다음 몇 가지 다른 맥 보안 기능을 우회해 사용자 파일에 접근하고, 시스템 설정을 변경하고, 심지어 웹캠까지 사용할 수 있었다. 다만 와이어드의 보도에 따르면, 해당 취약점이 실제로 악용된 사례를 발견되지 않았다. 공통 취약점 및 노출 데이터베이스에 CVE-2021-30873로 등록된 취약점은 2021년 10월 25일 출시된 맥OS 몬터레이 12.0.1 업데이트에서 수정됐다. 지원 문서에 따르면, 맥OS 카탈리나의 경우에는 2021년 10월 24일에 배포된 보안 업데이트 2021-007에 같은 취약점에 대한 패치가 포함되어 있다. 하지만 빅서에서 사용할 수 있는 패치는 없는 것으로 보인다. 카탈리나보다 오래된 버전의 맥OS(버전 10.14.6 모하비 및 이전 버전)은 애플에서 지원하지 않거나 더 이상 사용되지 않는 것으로 간주된다. iOS 14.5 및 아이패드OS 14.5에서도 유사한 결함이 패치된 바 있다.  컴퓨테스트는 블로그를 통해 해당 취약점을 이용한 공격에 대해 자세히 설명하고, 애플의 통합 개발 환경(IDE) 앱인 엑스코드(Xcode)를 사용해 수정 사항을 확인할 수 있는 방법을 소개했다. 매우 기술적인 내용이지만 알케메이드는 “SIP의 파일 시스템 제한에서 제외되면 사용자의 Mail.app 사서함과 같은...

맥OS 취약점 버그 2022.08.16

MS, ‘도그워크’ 제로데이 취약점 패치 권고

마이크로소프트가 ‘도그워크(DogWalk)’ 취약점을 수정한 패치를 릴리즈했다. 이 취약점은 2년 전 처음 발견됐지만 당시 회사 측은 이를 보안 문제로 분류하지 않았다.  이후 마이크로소프트는 위협 행위자가 이 제로데이 보안 취약점을 활발하게 악용하고 있다는 사실을 확인했으며, 이에 모든 윈도우 및 윈도우 서버 사용자에게 가능한 한 빨리 최신 월간 패치 화요일(Patch Tuesday) 업데이트를 받으라고 권고했다.    ‘CVE-2022-34713’ 또는 ‘도그워크(DogWalk)’라고 알려진 해당 취약점을 통해 위협 행위자는 윈도우 MSDT(Microsoft Support Diagnostic Tool)의 취약점을 악용할 수 있다. 공격자는 소셜 엔지니어링 및 피싱을 활용해 사용자를 속여 가짜 웹사이트를 방문하거나 악성 문서/파일을 열게 하고, 최종적으로 손상된 시스템에서 원격 코드를 실행할 수 있다.  도그워크는 최신 클라이언트 및 서버 릴리즈(윈도우 11 및 윈도우 서버 2022)를 포함하여 지원되는 모든 윈도우 버전에 영향을 미친다고 회사 측은 언급했다.  이 취약점은 지난 2020년 1월 처음 보고됐지만 당시 마이크로소프트는 이를 보안 문제로 간주하지 않았다. 최근 몇 달 동안 이 회사에서 이미 발견된 취약점에 관한 기존 입장을 번복한 것은 이번이 두 번째인데, 앞서 폴리나(Follina)로 알려진 또 다른 윈도우 MSDT 제로데이가 보안 위협을 제기한다는 보고도 처음에는 보안 문제로 간주하지 않았다. 해당 취약점 패치는 지난 6월 패치 화요일 업데이트에서 릴리즈됐다.  오렌지 사이버디펜스(Orange Cyberdefense)의 보안 연구 책임자 샤를 반 데어 월트는 “겉보기엔 무해한 확장자를 가진 파일이 악성 페이로드를 전달하는 데 얼마나 자주 그리고 쉽게 사용되는지 감안하지 못한 점은 마이크로소프트가 비난받아 마땅하지만 한편으론 매년 수천 개의 취약점이 보고되고 있기 때문에 취약점을 ...

마이크로소프트 도그워크 제로데이 2022.08.12

윈드리버 - 보안 위협으로부터 리눅스 시스템 보호하기

오픈 소스 리눅스는 임베디드 시스템 및 장치를 개발하는 개발자 사이에서 인기가 많다. 그러나 배포되는 상호 연결된 임베디드 시스템 장치들의 수가 계속해서 증가하면서 리눅스 소프트웨어의 취약점이 그 어느 때보다 널리 확산되고 있다. 취약점을 식별하고 필요한 업데이트를 수행하여 위협을 완화하는 일은 장치 개발자 및 제조업체가 전부 감당하기 어려운 경우가 많다.  본 백서는 모니터링, 평가, 통보, 치료 등 리눅스 취약점 해결을 위한 검증된 4단계 프로세스에 대해 설명한다. 또한 기업이 취약점을 내부적으로 모니터링하고 수정하는 데 따르는 비용을 따져보고, 배포된 장치 및 시스템을 지속적으로 보호할 때 숙련된 보안팀과의 협업을 선택하는 것이 왜 보다 현명한 선택일 수 있는지 설명한다. <6p> 주요 내용 - 보안이 취약한 세상 - 틈에 주의하라 - 핵심 4단계 : 모니터링, 평가, 통보, 치료 - 보호 비용 - 윈드리버 리눅스 보안 대응 프로세스

오픈소스 리눅스 임베디드 2022.08.05

"뜨거웠던 7월" 주요 보안 이슈 살펴보기

여름 휴가철에도 해커는 쉬지 않는다. 보안 연구진 또한 해커를 추적하고 (해커가) 악용할 수 있는 경로를 파헤치느라 바쁘다. 맬웨어가 포함된 구글 플레이 앱부터 러시아의 클라우드 스토리지 서비스 하이재킹, 옥타 플랫폼의 결함 아닌 결함까지  지난 7월 한 달 동안 흥미로웠던 몇 가지 보안 연구 결과를 소개한다.    가짜 안드로이드 앱이 여전히 판치는 구글 플레이 신뢰할 수 있는 앱 출처라고 하면 당연히 안전한 모바일 애플리케이션을 다운로드 받는다고 생각한다. 하지만 안타깝게도 항상 그런 건 아니다.  새롭게 불거진 문제는 아니지만 지스케일러 쓰레트랩(Zscaler ThreatLabz)과 프라데오(Pradeo)의 최근 보고서는 구글의 앱 스토어 ‘구글 플레이(Google Play)’에서 맬웨어가 포함된 안드로이드 앱이 계속 발견되고 있다고 밝혔다. 보고서에 따르면 조커(Joker), 페이스스틸러(Facestealer), 코퍼(Coper) 등의 맬웨어 제품군이 여러 앱 인스턴스에서 포착됐다.  지스케일러의 연구원 바이럴 간디와 히만슈 샤르마는 보고서에서 “조커는 안드로이드 기기를 표적으로 하는 맬웨어 중 하나다. 이미 널리 알려진 악성코드이긴 하지만 이는 코드, 실행 방법, 페이로드 검색 기술을 업데이트하는 등 맬웨어의 시그니처를 정기적으로 수정하면서 구글의 앱 스토어에 계속 침투하고 있다”라고 설명했다.  연구진은 즉시 이를 구글에 알렸고, 구글은 이 악성 앱을 제거하기 위한 조치를 취했다. 한편 본인을 시스템 관리자, 사이버 보안 애널리스트, 침투 테스터 및 개발자라고 밝힌 아론 락스(@MAST3R0x1A4)는 트위터와 링크드인에서 “구글처럼 규모가 크고 #플레이스토어를 운영하는 기업이 어떻게 이런 광범위한 맬웨어 배포를 계속 허용할 수 있는지 정말 이해할 수 없다”라고 지적했다.  맬웨어의 통로 역할을 한 클라우드 스토리지 서비스 7월은 구글의 제품 및 보안에 썩 좋지 않...

맬웨어 악성코드 취약점 2022.08.02

누구나 접근 가능한 클라우드 취약점 데이터베이스, 웹사이트로 공개

클라우드 보안 회사 위즈(Wiz)가 최근 발표한 커뮤니티 기반 웹사이트(cloudvulndb.org) 일반인이 접근할 수 있는 중앙 집중화된 클라우드 취약점 데이터베이스를 제공한다. 이 데이터베이스는 마이터(MITRE)의 CVE 취약점 시스템과 현행 클라우드 보안 문제 책임 분담 모델의 단점을 메우고는 있지만, 전문가들은 성공하려면 추가적이고 폭넓은 업계 차원의 지원이 필요하다고 입을 모은다. 위즈는 현행 시스템에서 놓치기 쉬운 클라우드 취약점의 탐지 및 관리 작업을 간소화하기 위해 계속 노력 중이며 새로운 취약점 데이터베이스 역시 그 같은 노력의 연장 선상에 있다. 예를 들어, 책임 분담 모델에서는 클라우드 서비스 제공업체(CSP)와 사용자가 보안 활동을 분담한다. 즉, CSP는 하드웨어 및 관리 서비스를 포함한 물리적인 보안을 담당하고 사용자는 소프트웨어, ID, 데이터 보호를 책임진다. 그러나 클라우드 취약점 데이터베이스의 필요성을 역설한 위즈 블로그에 따르면, 이 모델은 어느 한 쪽 범주에도 완전히 들어맞지 않는 최신 버그를 해결하기에는 부족하다.     위즈 측은 중앙 취약점 데이터베이스가 CSP 보안 문제의 목록 작성에 도움이 되고 CSP 고객이 각자의 환경에서 문제 탐지 또는 방지를 위해 취할 정확한 조치를 제시할 수 있다고 밝혔다. 위즈 위협 연구원이자 블로그 공동 저자인 아미타이 코헨은 “이 데이터베이스는 오랜 노력의 첫 걸음이다. 우리는 이 웹사이트의 커뮤니티적인 면에 주력하고 있다. 이런 종류의 웹사이트는 사상 최초이며 앞으로 더 많은 기여와 관리자를 추가할 것으로 기대한다. 또한, API나 RSS 피드를 추가하여 타 시스템과 연계하는 등 웹사이트에 더 많은 기능을 추가할 계획이 있다”라고 밝혔다. 보안 애널리스트 등 여러 전문가는 우려를 인식하고 무엇보다 CVE(공통 취약점 및 노출) 시스템의 대안을 요구해 왔다.   CVE 시스템이 클라우드 보안에 부족한 이유 TAG 사이버(TAG Cyber) ...

취약점 데이터베이스 클라우드취약점 2022.07.12

맥용 크롬 바로 업데이트해야…현실 취약점 보완하는 중요 보안 픽스 포함

맥용 크롬 브라우저에 핵심 업데이트가 생겼다. 현실 보안을 훼손하는 중요 수정 내역이 들어 있다. 윈도우 및 맥용 크롬 버전 102.0.5005.148의 CVE-2022-2294 픽스는 WebRTC의 버퍼 오버플로우를 참조한다. 이 취약점은 7월 1일 어배스트 위협 인텔리전스 팀의 얀 보트세크가 보고한 것으로 구글은 이 취약점에 대한 악용 사례가 이미 존재한다는 점을 알고 있다고 답했다. CWE에 따르면 버퍼 오버플로우는 덮어쓸 수 있는 버퍼가 메모리의 힙 위치에 할당되는 문제다. 일반적으로는 크래시 등 다양한 공격으로 이어질 수 있고 프로그램이 무한 루프에 빠질 수도 있다. 이번 보안 픽스는 올해 공개된 크롬용 보안 업데이트 중에서도 우선순위가 높다. 크롬 버전 100.0.4896.127에서도 현실에 이미 존재하는 취약점 악용을 대비한 패치 CVE-2022-1364를 발행한 바 있다. 이번 업데이트는 다른 자잘한 보안 및 버그 픽스를 함께 포함하고 있으며 수 일 내로 일반에 배포될 예정이다. 크롬 메뉴바에서 메뉴를 선택하고 About Chrome 항목을 클릭해 업데이트 버전이 있는지를 확인할 수 있다. editor@itworld.co.kr 

취약점 크롬 브라우저 2022.07.06

"1년 사이 2배 이상" 제로데이 취약점이 점점 더 많이 발견되는 이유

지난 1년 반 동안 다양한 유형의 위협 행위자가 수많은 제로데이(zero-day) 취약점을 악용했다. 제로데이 취약점은 소프트웨어 개발자에게 알려지지 않은 것으로, 주로 국가가 후원하는 단체와 랜섬웨어 공격 단체가 악용하고 있다.   구글 프로젝트 제로(Google Project Zero)는 올 상반기에 20여 가지의 제로데이 취약점을 발견했다. 대부분은 마이크로소프트, 애플, 구글이 개발한 제품에서 발견된 것이고 브라우저와 운영체제의 제로데이가 큰 비중을 차지한다. 6월 7일 아틀라시안의 컨플루언스 서버(Confluence Server)에서 발견된 치명적인 REC(Remote Code Execution) 취약점도 계속 악용되고 있는 상황이다.  2021년 발견된 제로데이 취약점의 수는 훨씬 많았다. 구글 프로젝트 제로는 2021년에만 58가지의 취약점을 발견했다. 맨디언트가 발견한 제로데이 취약점은 80가지였는데, 2020년보다 2배 이상 많았다. 맨디언트 수석 애널리스트 제임스 새도스키는 “발견되는 모든 제로데이는 발생할 수 있는 공격에 대한 이해를 넓히고 같거나 다른 기술에서 유사한 취약점을 찾아내는 데 도움이 된다. 더 많이 볼수록 더 많이 검출할 수 있다”라고 말했다. 제로데이 취약점 공격은 국가 후원을 받는 공격 단체가 주도하고 있지만, 일반적인 사이버 범죄자들도 만만치 않게 악용한다. 맨디언트에 따르면, 2021년 제로데이 취약점을 악용한 위협 행위자 3명 중 1명은 금전적인 동기를 지니고 있었다. 제로데이 취약점 공격 증가와 다양한 유형의 위협 행위자는 규모에 관계없이 기업에는 우려의 대상이다. 다른 관점에서는 보안 업계에 귀중한 학습 기회를 제공한다.  오래된 패턴을 따르는 제로데이 취약점 2021년 발견된 제로데이 취약점의 수는 기록적이지만, 실제로는 더 많을 수 있다. 구글 프로젝트 제로의 보안 연구원 매디 스톤은 “공격자가 자신이 악용한 제로데이 취약점을 일일이 공유하는 것은 ...

제로데이공격 제로데이 취약점 2022.07.04

아틀라시안, 컨플루언스 취약점 긴급 패치 배포 "2주 전부터 공격 시도 있었다"

소프트웨어 업체 아틀라시안이 컨플루언스 서버와 데이터센터 제품에 대한 긴급 패치를 배포했다. 지난주 사이버 공격자가 패치되지 않은 취약점을 악용했다는 보고가 나온 것에 따른 조치다. 클라우드플레어(Cloudflare)의 WAF(Web Application Firewall) 서비스 데이터에 따르면, 악용 시도는 2주 전부터 있었다.   CVE-2022-26134로 추적되는 제로데이 취약점은 영향을 받는 컨플루언스 버전을 호스팅하는 서버에서 허가받지 않은 공격자의 원격 코드 실행(Remote Code Execution, RCE)을 허용하며, 위험 등급으로 분류됐다. 아틀라시안은 고객이 사용하는 릴리스에 따라 새로 출시된 버전 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 및 7.18.1로 업그레이드할 것을 촉구했다. OGNL 인젝션 취약점 CVE-2022-26134는 OGNL(Object-Graph Navigation Language) 인젝션 취약점이다. OGNL은 자바 개체의 속성을 가져오고 설정하기 위한 오픈소스 표현 언어로, 자바에서 지원하는 작업을 더 간단하게 표현하는 방법을 제공한다. 많은 제품에서 OGNL을 지원하고 있다. OGNL 인젝션은 과거 다른 인기 있는 프로젝트에 영향을 미쳤던 것과 같은 종류의 취약점이다. 예를 들어, 2017년 에퀴팩스의 대규모 데이터 탈취 사건도 아파치 스트럿츠(Apache Struts) WAF의 OGNL 인젝션 취약점(CVE-2017-5638)이 원인이었다. 이런 결함을 악용하면 공격자는 애플리케이션을 속여 임의 코드와 명령을 실행할 수 있다. 현재 컨플루언스에서 발견된 취약점도 마찬가지 결과를 야기할 수 있다. 이미 발견된 악용 시도…2차 접근 수단까지 작성 컨플루언스 서버 취약점은 6월 2일 보안 업체 볼렉시티(Volexity)가 처음으로 보고했다. 볼렉시티는 인터넷에서 접근할 수 있는 손상된 컨플루언스 서버와 관련된 고객의 보안 사고를 조사하면서 이 취약점을 ...

아틀라시안 취약점 컨플루언스 2022.06.08

MS 오피스 앱 악용하는 취약점 '폴리나' 활개…완화 대책은?

공격자들이 워드 문서를 무기화해 패치되지 않은 RCE(Remote Code Execution) 취약점을 활발하게 악용하고 있다. 윈도우 구성요소인 MSDT(Microsoft Support Diagnostic Tool)에서 발견된 취약점이다. 마이크로소프트는 영구적인 패치를 배포하기 전까지 공격을 막을 수 있는 완화 대책을 내놨다.   CVE-2022-30190으로 추적되는 RCE 취약점에 대한 익스플로잇은 보안 리서치 업체 나오섹(nao_sec) 연구팀이 발견했다. 지난 4월 벨로루시의 IP로 바이러스토탈(VirusTotal)에 게재된 악의적인 워드 문서를 악용한 공격이었다. 즉, 취약점이 한 달 이상 악용되고 있었음을 알 수 있다.  워드 악용 공격…워드 결점은 아니다 최초의 익스플로잇이 워드 문서 형태로 시작됐기 때문에 처음에는 해당 RCE 취약점이 워드나 마이크로소프트 오피스 제품군에서 발견된 취약점이라는 이야기가 있었다. 그러나 보안 연구원 케빈 보몬트의 분석에 따르면, 해당 취약점은 워드 원격 템플릿 기능을 악용해 원격 서버에서 HTML 파일을 검색한 다음 ms-msdt URL 체계를 악용해 악의적인 코드와 파워셸 스크립트를 로드한다. 베어먼트는 취약점에 식별 코드가 부여되기 전 해당 취약점에 폴리나(Follina)라는 이름을 붙였다.   보몬트는 블로그 게시물에 “매크로가 비활성화되더라도 마이크로소프트 워드가 msdt를 통해 코드를 실행할 수 있다는 것이 첫 번째 문제다. 프로텍티드 뷰(Protected View)가 작동하기는 하지만, 문서를 RTF 형식으로 변경하면 프로텍티드 뷰는 물론 문서를 열지 않고도 (탐색기의 미리보기 탭을 통해) 코드가 실행된다”라고 썼다.  보몬트의 초기 테스트 결과 폴리나는 인사이드 및 커런트 채널에서는 작동하지 않았지만, 다른 버전에서는 악용에 성공했다. 이후 다른 연구원들이 최신 버전의 오피스 2013, 2016, 2019, 2021, 오피스 프로플러스 및 오피스 365...

마이크로소프트 보안 취약점 2022.06.02

"MS가 보안에 진지해졌다" 취약점 수 5년 만에 '감소세'

2021년 마이크로소프트 제품과 서비스의 전체 보안 취약점 건수가 5% 줄어든 것으로 나타났다. 5년 만에 감소세로 돌아섰다.   계정 관리 업체 비욘드트러스트(BeyondTrust)의 최신 보고서에 따르면, 지난해 마이크로소프트의 소프트웨어 제품에서 발견된 보안 취약점은 총 1,212건이었다. 그 전 해와 비교하면 상당히 크게 변화했는데, CVSS(Common Vulnerability Scoring System)를 기준으로 '치명적(critical)' 등급의 보안 취약점이 47% 급감했다. 비욘드트러스트가 보고서를 작성한 지난 9년을 통틀어 최저치다. 특히 윈도우와 윈도우 서버에서 각각 40%, 50% 보안 취약점이 크게 줄었다. 반면 마이크로소프트 엣지와 인터넷 익스플로러 브라우저는 이들 보안 취약점에 가장 영향을 받는 것으로 나타났다. 보고서 내용을 더 자세히 살펴보면, 2021년 가장 일반적인 형태의 보안취약점은 권한 확대(privilege elevation) 관련된 것이었다. 공격자가 불법적인 방법으로 시스템의 관리자 권한을 탈취한 것을 의미한다. 2021년에만 이런 권한 확대 보안 취약점이 558건 발견됐다. 비욘드트러스트의 연구자들은 이에 대한 보안 대응 방법도 제시했다. 불필요하게 관리자 권한을 가진 사용자를 줄이라는 것이다. 이를 통해 공격자가 확대된 권한을 얻는 것을 더 어렵게 만들 수 있다. 보고서는 "로컬 관리자 권한을 가진 사용자에게 접근하는 것 외에 공격자는 확대된 권한을 얻기 위해 창의적인 방법을 사용하기 시작했다. 이는 시스템을 변조하거나 계정을 탈취하거나 동서 이동에도 사용할 수 있는 방법이다"라고 분석했다. 두 번째로 많은 보안 취약점은 원격 코드 실행(remote code execution)이다. 취약점 같은 것을 노리는 공격자가 최소한의 사용자 상호작용 혹은 아예 상호작용 없이도 원격으로 공격을 실행할 수 있다는 점에서 특히 위험하다. 2021년에만 이런 보안 취약점이 326가지 발견됐는데, 이 중 5건은 ...

마이크로소프트 보안 취약점 2022.05.26

새로운 VM웨어 취약점 발견…미 CISA, 모든 연방 기관에 긴급 완화 촉구

미국 사이버보안 및 인프라 보안국(CISA)이 VM웨어 제품에서 발견된 2가지 새로운 취약점에 대한 긴급 지침을 발표했다.   CISA가 주목한 취약점은 VM웨어 워크스페이스 원 액세스(VMware Workspace ONE Access, Access), VM웨어 아이덴티티 매니저(VMware Identity Manager, vIDM) VM웨어 v리얼라이즈 오토메이션(VMware vRealize Automation, vRA), VM웨어 클라우드 파운데이션(VMware Cloud Foundation) 및 v리얼라이즈 스위트 라이프사이클 매니저(vRealize Suite Lifecycle Manager)을 포함한 몇몇 제품에서 발견된 취약점 CVE-2022-22972, CVE-2022-22973이다. 지난 4월 VM웨어 제품에서 발견된 취약점 CVE 2022-22954 및 CVE 2022-22960과 매우 유사하다. CISA는 해당 제품을 사용하는 정부 기관에 관련 위험을 완화하기 위해 신속한 조치를 취할 것을 촉구했다. CISA는 위협 행위자가 CVE-2022-22972 및 CVE-2022-22973을 재빠르게 악용할 수 있다고 우려했다. VM웨어는 2가지 취약점에 대한 업데이트를 18일 배포했다. CISA는 주의보에서 “취약점을 악용하면 공격자는 서버 측 템플릿 주입으로 원격 코드 실행을 할 수 있으며(CVE 2022-22954), 루트로 권한을 상승할 수 있고(CVE-2022-22960 및 CVE-2022-22973), 허가받지 않은 관리자 권한을 획득할 수 있다(CVE-2022-22972)”라고 경고했다. CISA는 이런 취약점으로 인해 FCEB(Federal Civilian Executive Branch) 기관에서 허용할 수 없는 위험을 초래하므로 긴급 조치가 필요하다고 판단했다. CVE-2022-22954 및 CVE-2022-22960 악용 사례를 이미 확인했고 향후 CVE-2022-22972 및 CVE-2022-22973도 악용...

CISA VM웨어 취약점 2022.05.20

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.